Datum der Kundmachung

24.10.2005

Fundstelle

LGBl. Nr. 87/2005 Stück 58

Bundesland

Burgenland

Kurztitel

Burgenländisches Datenschutzgesetz - Bgld. DSG

Text

Gesetz vom 30. Juni 2005 über den Schutz personenbezogener Daten bei nicht automationsunterstützt geführten Dateien (Burgenländisches Datenschutzgesetz - Bgld. DSG)

Der Landtag hat beschlossen:

INHALTSVERZEICHNIS

1. Abschnitt:

Allgemeine Bestimmungen

§ 1 Sachlicher Geltungsbereich

§ 2 Räumlicher Geltungsbereich

§ 3 Begriffsbestimmungen

§ 4 Öffentlicher und Privater Bereich

2. Abschnitt:

Verwendung von Daten

§ 5 Grundsätze

§ 6 Zulässigkeit der Verwendung von Daten

§ 7 Schutzwürdige Geheimhaltungsinteressen bei Verwendung

nicht-sensibler Daten

§ 8 Schutzwürdige Geheimhaltungsinteressen bei Verwendung

sensibler Daten

§ 9 Zulässigkeit der Überlassung von Daten zur Erbringung von

Dienstleistungen

§ 10 Pflichten der Dienstleisterin und des Dienstleisters

§ 11 Genehmigungsfreie Übermittlung und Überlassung von Daten

ins Ausland

§ 12 Genehmigungspflichtige Übermittlung und Überlassung von

Daten ins Ausland

3. Abschnitt:

Datensicherheit

§ 13 Datensicherheitsmaßnahmen

§ 14 Datengeheimnis

4. Abschnitt:

Publizität der Datenanwendungen

§ 15 Vorabkontrolle

§ 16 Verfahren der Vorabkontrolle

§ 17 Datenverarbeitungsregister

§ 18 Offenlegungspflicht der Auftraggeberin und des

Auftraggebers

§ 19 Informationspflicht der Auftraggeberin und des

Auftraggebers

5. Abschnitt:

Rechte der Betroffenen

§ 20 Auskunftsrecht

§ 21 Recht auf Richtigstellung oder Löschung

§ 22 Widerspruchsrecht

§ 23 Rechte der Betroffenen bei der Verwendung nur indirekt

personenbezogener Daten

6. Abschnitt:

Rechtsschutz

§ 24 Kontrollbefugnisse der Datenschutzkommission

§ 25 Beschwerde an die Datenschutzkommission

§ 26 Anrufung der Gerichte

§ 27 Schadenersatz

§ 28 Gemeinsame Bestimmungen

§ 29 Wirkung von Bescheiden der Datenschutzkommission

7. Abschnitt:

Besondere Verwendungszwecke von Daten

§ 30 Wissenschaftliche Forschung und Statistik

§ 31 Zur-Verfügung-Stellung von Adressen zur Benachrichtigung

und Befragung von Betroffenen

§ 32 Verwendung von Daten im Katastrophenfall

§ 33 Datenanwendungen des Landtages

8. Abschnitt:

Straf-, Übergangs- und Schlussbestimmungen

§ 34 Strafbestimmungen

§ 35 Mitteilungen an die Europäische Kommission und an die

anderen Mitgliedstaaten der Europäischen Union

§ 36 Anhörungsverfahren

§ 37 Befreiung von Verwaltungsabgaben

§ 38 Übergangsbestimmungen

§ 39 Umsetzung von Gemeinschaftsrecht

1. Abschnitt

Allgemeine Bestimmungen

Sachlicher Geltungsbereich

§ 1. (1) Dieses Gesetz regelt den Schutz personenbezogener

Daten bei nicht automationsunterstützt geführten Dateien, soweit die Verwendung dieser Dateien für Zwecke von Angelegenheiten erfolgt, die in Gesetzgebung Landessache sind.

(2) Dieses Gesetz ist nicht anzuwenden auf die Verwendung personenbezogener Daten durch natürliche Personen für ausschließlich persönliche oder familiäre Tätigkeiten.

Räumlicher Geltungsbereich

§ 2. (1) Dieses Gesetz ist - nach Maßgabe des Abs. 1 - auf die Verwendung von personenbezogenen Daten im Burgenland anzuwenden. Darüber hinaus ist dieses Gesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer im Burgenland gelegenen Haupt- oder Zweigniederlassung (§ 3 Z 14) einer Auftraggeberin oder eines Auftraggebers (§ 3 Z 4) geschieht.

(2) Abweichend von Abs. 1 ist das Recht des Sitzstaats der Auftraggeberin oder des Auftraggebers auf eine Datenverarbeitung im Burgenland anzuwenden, wenn eine Auftraggeberin oder ein Auftraggeber des privaten Bereichs (§ 4 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten im Burgenland zu einem Zweck verwendet, der keiner im Burgenland gelegenen Niederlassung dieser Auftraggeberin oder dieses Auftraggebers zuzurechnen ist.

(3) Weiters ist dieses Gesetz nicht anzuwenden, soweit personenbezogene Daten durch das Burgenland nur hindurchgeführt werden.

Begriffsbestimmungen

§ 3. Im Sinne der Bestimmungen dieses Gesetzes bedeuten die Begriffe:

Öffentlicher und privater Bereich

§ 4. (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Gesetzes zuzurechnen, wenn sie für Zwecke einer Auftraggeberin oder eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden.

(2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,

(3) Die dem Abs. 2 nicht unterliegenden Auftraggeberinnen und Auftraggeber gelten als Auftraggeberinnen und Auftraggeber des privaten Bereichs im Sinne dieses Gesetzes.

2. Abschnitt

Verwendung von Daten

Grundsätze

§ 5. (1) Daten dürfen nur

(2) Die Auftraggeberin oder der Auftraggeber trägt bei jeder ihrer oder seiner Datenanwendungen die Verantwortung für die Einhaltung der im Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn sie oder er für die Datenanwendung Dienstleisterinnen oder Dienstleister heranzieht.

(3) Die Auftraggeberin oder der Auftraggeber einer diesem Gesetz unterliegenden Datenanwendung hat, wenn sie oder er nicht im Gebiet der Europäischen Union niedergelassen ist, eine im Burgenland ansässige Vertreterin oder einen im Burgenland ansässigen Vertreter zu benennen, die oder der - unbeschadet der Möglichkeit eines Vorgehens gegen die Auftraggeberin oder den Auftraggeber selbst - namens der Auftraggeberin oder des Auftraggebers verantwortlich gemacht werden kann.

(4) Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie der Landesregierung zur Begutachtung vorgelegt wurden und diese ihre Übereinstimmung mit den Bestimmungen dieses Gesetzes als gegeben erklärt hat.

Zulässigkeit der Verwendung von Daten

§ 6. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen der jeweiligen Auftraggeberin oder des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.

(2) Daten dürfen nur übermittelt werden, wenn

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, dass die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz (§ 1 DSG 2000) nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und dass die Grundsätze des § 5 eingehalten werden.

Schutzwürdige Geheimhaltungsinteressen

bei Verwendung nicht-sensibler Daten

§ 7. (1) Gemäß § 1 Abs. 1 DSG 2000 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn

(2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung solcher Daten gemäß § 22 Widerspruch zu erheben, bleibt unberührt.

(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten

(4) Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen verstößt - unbeschadet der Bestimmungen des Abs. 2 - nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen der oder des Betroffenen, wenn

Schutzwürdige Geheimhaltungsinteressen

bei Verwendung sensibler Daten

§ 8. Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn

Zulässigkeit der Überlassung von Daten

zur Erbringung von Dienstleistungen

§ 9. (1) Auftraggeberinnen und Auftraggeber dürfen bei ihren Datenanwendungen Dienstleisterinnen und Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Die Auftraggeberin oder der Auftraggeber hat mit der Dienstleisterin oder dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die von der Dienstleisterin oder vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.

(2) Beabsichtigt ein Auftraggeber des öffentlichen Bereichs, eine Dienstleisterin oder einen Dienstleister im Rahmen einer Datenanwendung heranzuziehen, die der Vorabkontrolle gemäß § 15 unterliegt, so hat er dies der Datenschutzkommission mitzuteilen. Dies gilt nicht, wenn der Auftraggeber die Dienstleisterin oder den Dienstleister auf Grund ausdrücklicher gesetzlicher Ermächtigung in Anspruch nimmt oder als Dienstleisterin oder Dienstleister eine Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht.

(3) Kommt die Datenschutzkommission im Falle des Abs. 2 zur Auffassung, dass die geplante Inanspruchnahme einer Dienstleisterin oder eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen zu gefährden, so hat sie dies dem Auftraggeber unverzüglich mitzuteilen. Im Übrigen gilt § 24 Abs. 6 Z 4.

Pflichten der Dienstleisterin und des Dienstleisters

§ 10. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleisterinnen und Dienstleister bei der Verwendung von Daten für die Auftraggeberin oder den Auftraggeber jedenfalls folgende Pflichten:

(2) Vereinbarungen zwischen der Auftraggeberin oder dem Auftraggeber und der Dienstleisterin oder dem Dienstleister über die nähere Ausgestaltung der im Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.

Genehmigungsfreie Übermittlung und Überlassung

von Daten ins Ausland

§ 11. (1) Die Übermittlung und Überlassung von Daten an Empfängerinnen und Empfänger in Mitgliedstaaten der Europäischen Union ist keinen Beschränkungen im Sinne des § 12 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Union unterliegen.

(2) Keiner Genehmigung gemäß § 12 bedarf weiters der Datenverkehr mit Empfängerinnen und Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird durch Verordnung der Landesregierung festgestellt. Diese Verordnung hat Entscheidungen der Europäischen Kommission nach Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, zu beachten und sich - ohne Bindung an diese - an der gemäß § 12 Abs. 2 DSG 2000 erlassenen Verordnung des Bundeskanzlers zu orientieren. Maßgebend für die Angemessenheit des Schutzes sind die Ausgestaltung der Grundsätze des § 5 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.

(3) Darüber hinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

(4) Wenn eine Übermittlung oder Überlassung von Daten ins Ausland in Fällen, die von den vorstehenden Absätzen nicht erfasst sind,

(5) Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung ins Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 6. Bei Überlassungen ins Ausland muss darüber hinaus die schriftliche Zusage der ausländischen Dienstleisterin oder des ausländischen Dienstleisters an die inländische Auftraggeberin oder den inländischen Auftraggeber - oder in den Fällen des § 12 Abs. 4 an die inländische Dienstleisterin oder den inländischen Dienstleister - vorliegen, dass sie oder er die Dienstleisterpflichten gemäß § 10 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.

Genehmigungspflichtige Übermittlung und

Überlassung von Daten ins Ausland

§ 12. (1) Soweit der Datenverkehr mit dem Ausland nicht gemäß § 11 genehmigungsfrei ist, hat die Auftraggeberin oder der Auftraggeber vor der Übermittlung oder Überlassung von Daten ins Ausland eine Genehmigung der Datenschutzkommission einzuholen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.

(2) Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 DSG 2000 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 11 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,

(3) Im Genehmigungsverfahren haben Auftraggeber des öffentlichen Bereichs auch hinsichtlich der Datenanwendungen, die sie in Vollziehung der Gesetze durchführen, Parteistellung.

(4) Abweichend von Abs. 1 kann auch eine inländische Dienstleisterin oder ein inländischer Dienstleister die Genehmigung beantragen, wenn sie oder er zur Erfüllung ihrer oder seiner vertraglichen Verpflichtungen gegenüber mehreren Auftraggeberinnen oder Auftraggebern jeweils eine bestimmte weitere Dienstleisterin oder einen bestimmten weiteren Dienstleister im Ausland heranziehen will. Die tatsächliche Überlassung darf jeweils nur mit Zustimmung der Auftraggeberin oder des Auftraggebers erfolgen.

(5) Die Übermittlung von Daten an ausländische Vertretungsbehörden oder zwischenstaatliche Einrichtungen in Österreich gilt hinsichtlich der Pflicht zur Einholung von Genehmigungen nach Abs. 1 als Datenverkehr mit dem Ausland.

(6) Hat die Landesregierung trotz Fehlens eines im Empfängerstaat generell geltenden angemessenen Schutzniveaus durch Verordnung festgestellt, dass für bestimmte Kategorien des Datenverkehrs mit diesem Empfängerstaat die Voraussetzungen gemäß Abs. 2 Z 1 zutreffen, tritt an die Stelle der Verpflichtung zur Einholung einer Genehmigung die Pflicht zur Anzeige an die Datenschutzkommission. Die Datenschutzkommission hat binnen sechs Wochen ab Einlangen der Anzeige mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er keiner der in der Verordnung geregelten Kategorien zuzurechnen ist oder den Voraussetzungen gemäß § 11 Abs. 5 nicht entspricht; andernfalls ist die Übermittlung oder Überlassung der Daten ins Ausland zulässig.

3. Abschnitt

Datensicherheit

Datensicherheitsmaßnahmen

§ 13. (1) Für alle Organisationseinheiten

(2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,

(3) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck - das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestands - unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a des Strafgesetzbuchs, BGBl. Nr. 60/1974, zuletzt geändert durch das Gesetz BGBl. I Nr. 152/2004, (kriminelle Organisation) oder eines Verbrechens mit einer angedrohten Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.

(4) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.

(5) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, dass sich die Mitarbeiterinnen und Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.

Datengeheimnis

§ 14. (1) Auftraggeberinnen und Auftraggeber, Dienstleisterinnen und Dienstleister sowie ihre Mitarbeiterinnen und Mitarbeiter - das sind Arbeitnehmerinnen und Arbeitnehmer (Dienstnehmerinnen und Dienstnehmer) sowie Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis - haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).

(2) Mitarbeiterinnen und Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihrer Arbeitgeberin oder ihres Arbeitgebers (ihrer Dienstgeberin oder ihres Dienstgebers) übermitteln. Auftraggeberinnen und Auftraggeber (Dienstleisterinnen und Dienstleister) haben, sofern eine solche Verpflichtung ihrer Mitarbeiterinnen und Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, dass sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zur Auftraggeberin oder zum Auftraggeber (zur Dienstleisterin oder zum Dienstleister) einhalten werden.

(3) Auftraggeberinnen und Auftraggeber (Dienstleisterinnen und Dienstleister) dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Gesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiterinnen und Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.

(4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einer Mitarbeiterin oder einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Gesetzes kein Nachteil erwachsen.

4. Abschnitt

Publizität der Datenanwendungen

Vorabkontrolle

§ 15. (1) Datenanwendungen, die

(2) Dies gilt nicht für Datenanwendungen, die

(3) Soweit in diesem Abschnitt nicht ausdrücklich anderes bestimmt wird, sind die Bestimmungen des 4. Abschnitts des DSG 2000 sinngemäß anzuwenden.

Verfahren der Vorabkontrolle

§ 16. (1) Die Auftraggeberin oder der Auftraggeber hat der Datenschutzkommission folgende Angaben über die Datenanwendung zu melden:

(2) Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, dass jemand im Hinblick auf die Wahrnehmung seiner Rechte nach diesem Gesetz keine hinreichende Information darüber gewinnen kann, ob durch die Datenanwendung ihre oder seine schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt einer gemeldeten Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht gedeckt ist.

(3) Die Datenschutzkommission hat alle Meldungen binnen zwei Monaten zu prüfen. Kommt sie dabei zur Auffassung, dass eine Meldung im Sinne des Abs. 2 mangelhaft ist, so ist der Auftraggeberin oder dem Auftraggeber längstens innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung des Mangels unter Setzung einer angemessenen Frist aufzutragen.

(4) Gleichzeitig ist mit einem allfälligen Auftrag zur Verbesserung darüber abzusprechen, ob die Verarbeitung bereits aufgenommen werden darf oder ob dies mangels Nachweises ausreichender Rechtsgrundlagen für die Datenanwendung nicht zulässig ist.

(5) Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, so hat die Datenschutzkommission die Zulässigkeit der Aufnahme der Datenanwendung mit Bescheid zu untersagen.

(6) Die Datenschutzkommission kann auf Grund der Ergebnisse des Prüfungsverfahrens der Auftraggeberin oder dem Auftraggeber Auflagen für die Vornahme der Datenanwendung mit Bescheid erteilen, soweit dies zur Wahrung der durch dieses Gesetz geschützten Interessen der Betroffenen notwendig ist.

(7) Wird innerhalb von zwei Monaten nach Meldung kein Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden.

(8) Auftraggeber des öffentlichen Bereichs haben im Verfahren auch hinsichtlich der Datenanwendungen, die sie in Vollziehung der Gesetze durchführen, Parteistellung.

Datenverarbeitungsregister

§ 17. (1) Meldungen gemäß § 16 sind in das Datenverarbeitungsregister einzutragen, wenn

(2) Der Auftraggeberin oder dem Auftraggeber ist die Durchführung der Registrierung schriftlich in Form eines Registerauszugs mitzuteilen.

(3) Jeder Auftraggeberin und jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen.

(4) Streichungen und Änderungen im Datenverarbeitungsregister sind auf Antrag der oder des Eingetragenen oder in den Fällen der Abs. 5 und 7 von Amts wegen durchzuführen.

(5) Gelangen der Datenschutzkommission aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift der Auftraggeberin oder des Auftraggebers zur Kenntnis, so sind die Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der Wegfall der Rechtsgrundlage der Auftraggeberin oder des Auftraggebers, ist von Amts wegen die Streichung aus dem Register anzuordnen.

(6) Änderungen oder Streichungen nach Abs. 5 sind ohne weiteres Ermittlungsverfahren durch Bescheid zu verfügen.

(7) Werden der Datenschutzkommission andere als die im Abs. 5 bezeichneten Umstände bekannt, die den Verdacht der Mangelhaftigkeit einer Registrierung oder der rechtswidrigen Unterlassung einer Meldung begründen, so hat die Datenschutzkommission ein Verfahren zur Feststellung des für die Erfüllung der Meldepflicht erheblichen Sachverhalts einzuleiten und das Datenverarbeitungsregister entsprechend dem Ergebnis des Verfahrens zu berichtigen.

(8) Jede Person darf in das Register Einsicht nehmen. In den Registrierungsakt einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist Einsicht zu gewähren, wenn die Einsichtswerberin oder der Einsichtswerber glaubhaft macht, dass sie Betroffene oder er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen der Auftraggeberin oder des Auftraggebers oder anderer Personen entgegenstehen.

Offenlegungspflicht der Auftraggeberin

und des Auftraggebers

§ 18. Auftraggeberinnen und Auftraggeber haben jeder Person auf Anfrage folgende Angaben über ihre Datenanwendungen, die nicht der Vorabkontrolle unterliegen, bekannt zu geben:

Informationspflicht der Auftraggeberin

und des Auftraggebers

§ 19. (1) Auftraggeberinnen und Auftraggeber einer Datenanwendung haben aus Anlass der Ermittlung von Daten die Betroffenen in geeigneter Weise über

(2) Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wenn

(3) Werden Daten nicht durch Befragung der oder des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten derselben Auftraggeberin oder desselben Auftraggebers oder aus Anwendungen anderer Auftraggeberinnen oder Auftraggeber ermittelt, so darf die Information gemäß Abs. 1 entfallen, wenn

5. Abschnitt

Rechte der Betroffenen

Auskunftsrecht

§ 20. (1) Die Auftraggeberinnen und Auftraggeber haben der oder dem Betroffenen Auskunft über die zu ihrer oder seiner Person verarbeiteten Daten zu geben, wenn die oder der Betroffene dies schriftlich verlangt und ihre oder seine Identität in geeigneter Form nachweist. Mit Zustimmung der Auftraggeberin oder des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz der oder des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen der Auftraggeberin oder des Auftraggebers oder einer oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen.

Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

(3) Die oder der Betroffene hat am Auskunftsverfahren über Befragung in dem ihr oder ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand bei der Auftraggeberin oder beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil die oder der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder den Kostenersatz nicht geleistet hat.

(5) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn die oder der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an die Auftraggeberin oder den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

(6) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf die Auftraggeberin oder der Auftraggeber Daten über die Betroffene oder den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 25 an die Datenschutzkommission bis zum rechtskräftigen Abschluss des Verfahrens nicht vernichten.

(7) Soweit Datenanwendungen von Gesetzes wegen öffentlich einsehbar sind, hat die oder der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das jeweilige öffentliche Buch oder Register einrichtenden Gesetze.

(8) Im Falle der auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 5 Abs. 4 eigenverantwortlichen Entscheidung über die Durchführung einer Datenanwendung durch eine Auftragnehmerin oder einen Auftragnehmer gemäß § 3 Z 4 dritter Satz kann die oder der Betroffene das Auskunftsbegehren zunächst auch an die Person richten, welche die Herstellung des Werks aufgetragen hat. Diese hat der oder dem Betroffenen, soweit dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse der eigenverantwortlichen Auftragnehmerin oder des eigenverantwortlichen Auftragnehmers mitzuteilen, damit die oder der Betroffene das Auskunftsrecht gegen diese Person gemäß Abs. 1 geltend machen kann.

Recht auf Richtigstellung oder Löschung

§ 21. (1) Alle Auftraggeberinnen und Auftraggeber haben unrichtige oder entgegen den Bestimmungen dieses Gesetzes verarbeitete Daten richtig zu stellen oder zu löschen, und zwar

(2) Der Pflicht zur Richtigstellung nach Abs. 1 Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist.

(3) Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt.

(4) Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, dass ihre Archivierung rechtlich zulässig ist und dass der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus § 30.

(5) Der Beweis der Richtigkeit der Daten obliegt - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - der Auftraggeberin oder dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben der oder des Betroffenen ermittelt wurden.

(6) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zulässt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.

(7) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und der oder dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.

(8) Werden Daten verwendet, deren Richtigkeit die oder der Betroffene bestreitet, und lässt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen der oder des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung der oder des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichts oder der Datenschutzkommission gelöscht werden.

(9) Wurden im Sinne des Abs. 1 richtig gestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat die Auftraggeberin oder der Auftraggeber die Empfängerinnen und Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfängerinnen und Empfänger noch feststellbar sind.

Widerspruchsrecht

§ 22. (1) Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, haben die Betroffenen das Recht, gegen die Verwendung ihrer Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus ihrer jeweiligen besonderen Situation ergeben, bei der Auftraggeberin oder beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Die Auftraggeberin oder der Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten der oder des Betroffenen binnen acht Wochen aus der betreffenden Datenanwendung zu löschen und allfällige Übermittlungen zu unterlassen.

(2) Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei kann die oder der Betroffene jederzeit auch ohne Begründung des Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen.

Rechte der Betroffenen bei der Verwendung

nur indirekt personenbezogener Daten

§ 23. Die durch die §§ 20 bis 22 gewährten Rechte können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden.

6. Abschnitt

Rechtsschutz

Kontrollbefugnisse der Datenschutzkommission

§ 24. (1) Jede Person kann sich wegen einer behaupteten Verletzung ihrer Rechte oder sie betreffende Pflichten einer Auftraggeberin oder eines Auftraggebers (einer Dienstleisterin oder eines Dienstleisters) nach diesem Gesetz mit einer Eingabe an die Datenschutzkommission wenden.

(2) Die Datenschutzkommission kann im Falle eines begründeten Verdachts auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie von der Auftraggeberin oder vom Auftraggeber (von der Dienstleisterin oder vom Dienstleister) der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.

(3) Datenanwendungen, die der Vorabkontrolle gemäß § 15 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden.

(4) Zum Zweck der Einschau ist die Datenschutzkommission nach Verständigung der Inhaberin oder des Inhabers der Räumlichkeiten und der Auftraggeberin oder des Auftraggebers (der Dienstleisterin oder des Dienstleisters) berechtigt, Räume, in denen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Die Auftraggeberin oder der Auftraggeber (die Dienstleisterin oder der Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte der Auftraggeberin oder des Auftraggebers (der Dienstleisterin oder des Dienstleisters) und Dritter auszuüben.

(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Die Pflicht zur Verschwiegenheit besteht auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach § 33 dieses Gesetzes oder eines Verbrechens nach § 278a des Strafgesetzbuchs, BGBl. Nr. 60/1974, zuletzt geändert durch das Gesetz BGBl. I Nr. 152/2004, (kriminelle Organisation) oder eines Verbrechens mit einer angedrohten Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher strafbarer Handlungen auch dem Ersuchen der Strafgerichte nach § 26 der Strafprozessordnung, BGBl. Nr. 631/1975, zuletzt geändert durch das Gesetz BGBl. I Nr. 164/2004, zu entsprechen ist.

(6) Zur Herstellung des rechtmäßigen Zustands kann die Datenschutzkommission Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

(7) Die einschreitende Person ist darüber zu informieren, wie mit ihrer Eingabe verfahren wurde.

Beschwerde an die Datenschutzkommission

§ 25. (1) Die Datenschutzkommission erkennt auf Antrag der oder des Betroffenen über behauptete Verletzungen des Rechts auf Auskunft gemäß § 20 durch die Auftraggeberin oder den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) Zur Entscheidung über behauptete Verletzungen der Rechte einer oder eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Gesetz ist die Datenschutzkommission dann zuständig, wenn die oder der Betroffene eine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.

(3) Bei Gefahr im Verzug kann die Datenschutzkommission im Zuge der Behandlung einer Beschwerde nach Abs. 2 die weitere Verwendung von Daten zur Gänze oder teilweise untersagen oder auch - bei Streitigkeiten über die Richtigkeit von Daten - der Auftraggeberin oder dem Auftraggeber die Anbringung eines Bestreitungsvermerks auftragen.

Anrufung der Gerichte

§ 26. (1) Ansprüche gegen Auftraggeberinnen oder Auftraggeber des privaten Bereichs wegen Verletzung der Rechte der oder des Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung sind von der oder dem Betroffenen auf dem Zivilrechtsweg geltend zu machen.

(2) Sind Daten entgegen den Bestimmungen dieses Gesetzes verwendet worden, so hat die oder der Betroffene Anspruch auf Unterlassung und Beseitigung des diesem Gesetz widerstreitenden Zustands.

(3) Zur Sicherung der auf dieses Gesetz gestützten Ansprüche auf Unterlassung können einstweilige Verfügungen erlassen werden, auch wenn die im § 381 der Exekutionsordnung, RGBl. Nr. 79/1896, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 151/2004, bezeichneten Voraussetzungen nicht erfüllt sind. Dies gilt auch für Verfügungen über die Verpflichtung zur Anbringung eines Bestreitungsvermerks.

(4) Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung nach diesem Gesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel die oder der Betroffene den gewöhnlichen Aufenthalt oder Sitz hat. Klagen von Betroffenen können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel die Auftraggeberin oder der Auftraggeber (die Dienstleisterin oder der Dienstleister) den gewöhnlichen Aufenthalt oder Sitz hat.

(5) Die Datenschutzkommission hat in Fällen, in denen der begründete Verdacht einer schwerwiegenden Datenschutzverletzung durch eine Auftraggeberin oder einen Auftraggeber des privaten Bereichs besteht, gegen diese oder diesen eine Feststellungsklage (§ 228 der Zivilprozessordnung - ZPO, RGBl. Nr. 113/1895, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 151/2004) beim zuständigen Gericht zu erheben.

(6) Die Datenschutzkommission hat, wenn eine Betroffene oder ein Betroffener es verlangt und es zur Wahrung der nach diesem Gesetz geschützten Interessen einer größeren Zahl von Betroffenen geboten ist, einem Rechtsstreit auf der Seite der oder des Betroffenen als Nebenintervenient (§§ 17 ff. ZPO) beizutreten.

Schadenersatz

§ 27. (1) Auftraggeberinnen oder Auftraggeber (Dienstleisterinnen oder Dienstleister), die Daten schuldhaft entgegen den Bestimmungen dieses Gesetzes verwenden, haben dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen.

(2) Werden durch die öffentlich zugängliche Verwendung von

(3) Die Auftraggeberinnen und Auftraggeber (Dienstleisterinnen und Dienstleister) haften auch für das Verschulden ihrer Leute, soweit deren Tätigkeit für den Schaden ursächlich war.

(4) Die Auftraggeberin oder der Auftraggeber kann sich von ihrer oder seiner Haftung befreien, wenn sie oder er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihr oder ihm und ihren oder seinen Leuten (Abs. 3) nicht zur Last gelegt werden kann. Dasselbe gilt für die Haftungsbefreiung der Dienstleisterinnen und Dienstleister. Für den Fall eines Mitverschuldens der oder des Geschädigten oder einer Person, deren Verhalten sie oder er zu vertreten hat, gilt § 1304 ABGB.

(5) Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach § 26 Abs. 4.

Gemeinsame Bestimmungen

§ 28. (1) Der Anspruch auf Behandlung einer Eingabe nach § 24, einer Beschwerde nach § 25 oder einer Klage nach § 26 erlischt, wenn die einschreitende Person sie nicht binnen eines Jahres, nachdem sie Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden hat, einbringt. Dies ist der einschreitenden Person im Falle einer verspäteten Eingabe gemäß § 24 mitzuteilen; verspätete Beschwerden nach § 25 und Klagen nach § 26 sind abzuweisen.

(2) Eingaben nach § 24, Beschwerden nach § 25, Klagen nach § 26 sowie Schadenersatzansprüche nach § 27 können nicht nur auf die Verletzung der Vorschriften dieses Gesetzes, sondern auch auf die Verletzung von datenschutzrechtlichen Vorschriften eines anderen Mitgliedstaats der Europäischen Union gegründet werden, soweit solche Vorschriften gemäß § 2 im Burgenland anzuwenden sind.

(3) Ist die vermutete Verletzung schutzwürdiger Geheimhaltungsinteressen einer oder eines Betroffenen im Burgenland gemäß § 2 nach der Rechtsordnung eines anderen Mitgliedstaats der Europäischen Union zu beurteilen, so kann die Datenschutzkommission im Falle ihrer Befassung die zuständige ausländische Datenschutzkontrollstelle um Unterstützung ersuchen.

(4) Die Datenschutzkommission hat den unabhängigen Datenschutzkontrollstellen der anderen Mitgliedstaaten der Europäischen Union über Ersuchen Amtshilfe zu leisten.

Wirkung von Bescheiden der Datenschutzkommission

§ 29. (1) Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Sie unterliegen nicht der Aufhebung oder Abänderung im Verwaltungsweg. Die Anrufung des Verwaltungsgerichtshofs durch die Parteien des Verfahrens ist zulässig. Dies gilt auch für die in Vollziehung der Gesetze tätigen Auftraggeberinnen und Auftraggeber des öffentlichen Bereichs in jenen Fällen, in denen ihnen gemäß § 12 Abs. 3 oder § 16 Abs. 8 Parteistellung zukommt oder durch Gesetz ausdrücklich ein Beschwerderecht an den Verwaltungsgerichtshof eingeräumt wurde.

(2) Bescheide, mit denen gemäß § 12 Übermittlungen oder Überlassungen von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen und tatsächlichen Voraussetzungen für die Erteilung der Genehmigung, insbesondere auch infolge einer gemäß § 55 DSG 2000 ergangenen Kundmachung des Bundeskanzlers, nicht mehr bestehen.

(3) Wenn die Datenschutzkommission eine Verletzung von Bestimmungen dieses Gesetzes durch einen Auftraggeber des öffentlichen Bereichs festgestellt hat, so hat dieser mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen.

7. Abschnitt

Besondere Verwendungszwecke von Daten

Wissenschaftliche Forschung und Statistik

§ 30. (1) Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, dürfen Auftraggeberinnen und Auftraggeber von Untersuchungen alle Daten verwenden, die

(2) Bei Datenanwendungen für Zwecke wissenschaftlicher Forschung und Statistik, die nicht unter Abs. 1 fallen, dürfen Daten, die nicht öffentlich zugänglich sind, nur

(3) Eine Genehmigung der Datenschutzkommission zur Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik ist zu erteilen, wenn

(4) Rechtliche Beschränkungen der Zulässigkeit der Benützung von Daten aus anderen, insbesondere urheberrechtlichen Gründen bleiben unberührt.

(5) Auch in jenen Fällen, in denen gemäß den vorstehenden Absätzen die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, ist der direkte Personenbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit nur indirekt personenbezogenen Daten das Auslangen gefunden werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personenbezug der Daten gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.

Zur-Verfügung-Stellung von Adressen für die

Benachrichtigung und Befragung von Betroffenen

§ 31. (1) Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf die Übermittlung von Adressdaten eines bestimmten Kreises von Betroffenen zum Zweck ihrer Benachrichtigung oder Befragung der Zustimmung der Betroffenen.

(2) Wenn allerdings angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung eine Beeinträchtigung der Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist, bedarf es keiner Zustimmung, sofern

(3) Liegen die Voraussetzungen des Abs. 2 nicht vor und würde die Einholung der Zustimmung der Betroffenen gemäß Abs. 1 einen unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der Adressdaten mit Genehmigung der Datenschutzkommission gemäß Abs. 4 zulässig, falls die Übermittlung an Dritte

(4) Die Datenschutzkommission hat die Genehmigung zur Übermittlung zu erteilen, wenn die Antragstellerin oder der Antragsteller das Vorliegen der im Abs. 3 genannten Voraussetzungen glaubhaft macht und überwiegende schutzwürdige Geheimhaltungsinteressen der Betroffenen der Übermittlung nicht entgegenstehen. Die Datenschutzkommission kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere bei der Verwendung sensibler Daten als Auswahlkriterium, notwendig ist.

(5) Die übermittelten Adressdaten dürfen ausschließlich für den genehmigten Zweck verwendet werden und sind zu löschen, sobald sie für die Benachrichtigung oder Befragung nicht mehr benötigt werden.

(6) In jenen Fällen, in denen es gemäß den vorstehenden Absätzen zulässig ist, Namen und Adresse von Personen, die einem bestimmten Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum Zweck der Auswahl der zu übermittelnden Adressdaten notwendigen Verarbeitungen vorgenommen werden.

Verwendung von Daten im Katastrophenfall

§ 32. (1) Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind auch Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis ermächtigt, Daten zu verwenden. Wer rechtmäßig über Daten verfügt, darf diese an Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen übermitteln, sofern diese die Daten zur Bewältigung der Katastrophe für die genannten Zwecke benötigen. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.

(2) Eine Überlassung oder Übermittlung von Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke notwendig ist. Daten, die für sich allein den Betroffenen strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Übermittlung von Daten Angehöriger darf nur in pseudonymisierter Form erfolgen. Daten dürfen in Staaten ohne angemessenes Datenschutzniveau nur übermittelt oder überlassen werden, wenn der Auftraggeber auf Grund schriftlicher Vereinbarungen mit der Empfängerin oder dem Empfänger oder auf Grund schriftlicher Zusagen der Empfängerin oder des Empfängers oder, wenn dies nach den Umständen nicht oder nicht in angemessener Zeit möglich ist, durch Erteilung von Auflagen an die Empfängerin oder den Empfänger davon ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Eine Übermittlung oder Überlassung hat dann zu unterbleiben, wenn Grund zur Annahme besteht, dass die Empfängerin oder der Empfänger nicht für den gebotenen Schutz der Geheimhaltungsinteressen der Betroffenen Sorge tragen oder ausdrückliche datenschutzrechtliche Auflagen des Auftraggebers missachten werde. Während der Dauer der Katastrophensituation entfällt im Hinblick auf § 11 Abs. 3 Z 3 die Genehmigungspflicht. Die Datenschutzkommission ist von den veranlassten Übermittlungen und Überlassungen und den näheren Umständen des Anlass gebenden Sachverhaltes jedoch unverzüglich zu verständigen. Die Datenschutzkommission kann zum Schutz der Betroffenenrechte Datenübermittlungen oder - überlassungen untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist.

(3) Auf Grund einer konkreten Anfrage einer oder eines nahen Angehörigen einer tatsächlich oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Auftraggeber ermächtigt, der oder dem Anfragenden Daten über die Reise in das und aus dem Katastrophengebiet, Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand der Ausforschung von betroffenen Personen zu übermitteln, wenn die oder der Angehörige folgende Daten bekannt gibt:

(4) Über Abs. 3 hinaus dürfen nahen Angehörigen von Auftraggebern des öffentlichen Bereichs und Hilfsorganisationen Daten einschließlich sensibler Daten über tatsächlich oder vermutlich unmittelbar von der Katastrophe betroffene Personen nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Auskunft zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger sind verpflichtet, die Auftraggeber des öffentlichen Bereichs und Hilfsorganisationen bei der Überprüfung der Daten gemäß Abs. 3 und der Angehörigenbeziehung zu unterstützen. Behörden sind ermächtigt, die zur Überprüfung dieser Angaben notwendigen Daten im Wege der Amtshilfe zu ermitteln und für diesen Zweck zu verwenden.

(5) Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten und Lebensgefährten der Betroffenen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person glaubhaft machen.

(6) Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein anerkannte gemeinnützige Organisation, die statuten- oder satzungsgemäß das Ziel hat, Menschen in Notsituationen zu unterstützen und von der angenommen werden kann, dass sie in wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall erbringen kann.

(7) Alle Datenverwendungen sind im Sinne des § 13 Abs. 2 Z 6 zu protokollieren.

(8) Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in den §§ 7 und 8 genannter Tatbestände bleibt unberührt.

Datenanwendungen des Landtages

§ 33. Die Präsidentin oder der Präsident des Landtages ist Auftraggeberin oder Auftraggeber jener Datenanwendungen, die für Zwecke der ihr oder ihm gemäß § 14 der Geschäftsordnung des Landtages, LGBl. Nr. 47/1981, in der jeweils geltenden Fassung, übertragenen Angelegenheiten durchgeführt werden. Übermittlungen von Daten aus solchen Datenanwendungen dürfen nur über Auftrag der Präsidentin oder des Präsidenten des Landtages vorgenommen werden. Die Präsidentin oder der Präsident hat Vorsorge dafür zu treffen, dass im Falle eines Übermittlungsauftrags die Voraussetzungen des § 6 Abs. 2 vorliegen und insbesondere die Zustimmung der oder des Betroffenen in jenen Fällen eingeholt wird, in denen dies gemäß § 6 Abs. 2 mangels einer anderen Rechtsgrundlage für die Übermittlung notwendig ist.

8. Abschnitt

Straf-, Übergangs- und Schlussbestimmungen

Strafbestimmungen

§ 34. (1) Personen, die

(2) Personen, die

(3) Der Versuch ist strafbar.

(4) Die Strafe des Verfalls von Datenträgern und Programmen kann ausgesprochen werden (§§ 10, 17 und 18 des Verwaltungsstrafgesetzes 1991, BGBl. Nr 52/1991, zuletzt geändert durch das Gesetz BGBl. I Nr. 117/2002), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.

(5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel die Auftraggeberin oder der Auftraggeber (die Dienstleisterin oder der Dienstleister) den gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Burgenland nicht gegeben ist, ist die Bezirkshauptmannschaft Eisenstadt-Umgebung zuständig.

Mitteilungen an die Europäische Kommission und

an die anderen Mitgliedstaaten der Europäischen Union

§ 35. (1) Von der Erlassung eines Landesgesetzes, das die Zulässigkeit der Verarbeitung sensibler Daten betrifft und über die im Art. 8 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr, ABl. Nr. L 281 S. 31, genannten Ausnahmen hinausgeht, hat die Landesregierung der Europäischen Kommission Mitteilung zu machen.

(2) Die Datenschutzkommission hat den anderen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission mitzuteilen, in welchen Fällen

Anhörungsverfahren

§ 36. Die Datenschutzkommission ist vor Erlassung von Verordnungen anzuhören, die auf Grundlage dieses Gesetzes ergehen oder sonst wesentliche Fragen des Datenschutzes unmittelbar betreffen.

Befreiung von Verwaltungsabgaben

§ 37. Für Amtshandlungen, die auf durch dieses Gesetz unmittelbar veranlassten Eingaben der Betroffenen zur Wahrung ihrer Interessen beruhen, sind keine Verwaltungsabgaben des Landes zu entrichten.

Übergangsbestimmungen

§ 38. (1) Die Verarbeitungen von Daten, die zum Zeitpunkt des Inkrafttretens dieses Gesetzes in manuellen Dateien vorhanden sind, sind

(2) Betroffene im Sinne dieses Gesetzes können unabhängig von Abs. 1 auf Antrag und insbesondere bei Ausübung des Auskunftsrechts die Berichtigung, Löschung oder Sperrung von Daten begehren, die unvollständig oder unzutreffend sind oder auf eine Art und Weise aufbewahrt werden, die mit den rechtmäßigen Zwecken unvereinbar sind, die von dem für die Verarbeitung Verantwortlichen verfolgt werden.

Umsetzung von Gemeinschaftsrecht

§ 39. Dieses Gesetz ergeht in Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31.